Utilizzo di un dispositivo HSM per la generazione della firma del codice

1

Attualmente sto creando firme di codice per il mio pacchetto open source usando openssl.

Il modo in cui lo faccio è:

  1. Genera coppia di chiavi pubbliche private RSA (ad es. openssl genrsa)

  2. Durante il packaging, creo una firma generando un digest sha-512 per il pacchetto e crittografando il digest utilizzando la chiave privata (ad esempio openssl dgst -sign)

  3. Fornisco la mia chiave pubblica alla persona che sta scaricando il pacchetto, e verificano il pacchetto usando la mia chiave pubblica e la firma (es. openssl dgst -verify)

Sto pensando di utilizzare un server HSM per archiviare la mia chiave privata per una maggiore sicurezza, ma voglio mantenere il flusso di lavoro della verifica lo stesso per i miei utenti.

Ad esempio, voglio che i miei utenti siano in grado di verificare la firma usando openssl senza dover accedere al dispositivo HSM.

Questo flusso di lavoro sarebbe possibile con i dispositivi di tipo HSM (ad es. CloudHSM di AWS)?

Grazie per il tuo aiuto.

    
posta jdoe 02.11.2016 - 21:55
fonte

1 risposta

1

Sì. Ovviamente gli utenti non hanno bisogno di alcun accesso all'HSM. Hanno solo bisogno della chiave pubblica.

Questo è ciò che viene fatto con una smartcard e un certificato x.509. Il certificato viene consegnato ad altri utenti. Ricevono il certificato come un file . Contiene la chiave pubblica. Di solito non sanno nulla della chiave privata.

La chiave privata potrebbe essere generata su una smartcard o HSM.

    
risposta data 02.11.2016 - 23:36
fonte

Leggi altre domande sui tag